Protocolo ARP Address Resolution Protocol Protocolo de Resolución de Direcciones
ARP ¿Por qué? <ul><li>La MAC es una dirección de la capa de enlace de datos que depende del hardware que se utilice. Tambi...
ARP El mensaje <ul><li>Tipo de HW: Identifica el tipo de hardware que se utiliza: Ethernet, ATM, HDLC, ... </li></ul><ul><...
ARP El mensaje <ul><li>Utilizando Wireshark </li></ul>
ARP ¿Cómo funciona? <ul><li>Tenemos un host A que quiere mandar un datagrama a la dirección IP pero si no conoce la direcc...
Caché ARP <ul><li>Debido a que la red debe de estar continuamente comunicandose para la resolución de direcciones ésta pue...
Envenenamiento ARP <ul><li>Este tipo de vulnerabilidad consiste en el envenenamiento de las tablas ARP de los host implica...
Envenenamiento ARP: Escenario <ul><li>Tenemos un router, y dos host una la víctima y otra el atacante. </li></ul><ul><li>E...
Envenenamiento ARP: Herramientas <ul><li>Distribución linux preferida. Ubuntu Jaunty Jackalope. </li></ul><ul><li>dnsspoof...
Envenenamiento ARP Manos a la obra <ul><li>Después de instalar todas las herramientas necesarias necesitamos poner el ip_f...
Envenenamiento ARP La obra continua <ul><li>Si en el host de la víctima visualizamos su cache ARP podemos encontrarnos con...
Envenenamiento ARP El destape <ul><li>Ahora utilizando el programa Wireshark y utilizando como filtro msnms </li></ul>
Envenenamiento ARP Para curiosos <ul><li>A este método se le puede añadir la falsificación de DNS con  dnsspoof  por ejemp...
Posibles soluciones <ul><li>Una posible solución pasa por insertar de manera estática la caché ARP esto puede ser demasiad...
Conclusión <ul><li>Como hemos visto en el mundo de las redes de la información no siempre todo es seguro. </li></ul><ul><l...
Bibliografía y direcciones de interés <ul><li>http://www.ietf.org/rfc/rfc826.txt </li></ul><ul><li>http://www.tcpipguide.c...
Próxima SlideShare
Cargando en…5
×

Redes: Protocolo Arp

22.159 visualizaciones

Publicado el

Definición del protocolo ARP, funcionamiento y seguridad dentro de una red local. ARP Spoofing en un entorno linux.

Publicado en: Tecnología
0 comentarios
2 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

Sin descargas
Visualizaciones
Visualizaciones totales
22.159
En SlideShare
0
De insertados
0
Número de insertados
97
Acciones
Compartido
0
Descargas
506
Comentarios
0
Recomendaciones
2
Insertados 0
No insertados

No hay notas en la diapositiva.

Redes: Protocolo Arp

  1. 1. Protocolo ARP Address Resolution Protocol Protocolo de Resolución de Direcciones
  2. 2. ARP ¿Por qué? <ul><li>La MAC es una dirección de la capa de enlace de datos que depende del hardware que se utilice. También se conoce como dirección Ethernet o dirección de control de acceso al medio (MAC). </li></ul><ul><li>La dirección IP trabaja en la capa de red y no entiende nada acerca de MACs que manejan nodos induviduales dentro de la red. </li></ul><ul><li>Se necesita un protocolo estándar que los relacione para que un datagrama pueda llegar a su destino. El protocolo ARP recogido en la RFC826. </li></ul>
  3. 3. ARP El mensaje <ul><li>Tipo de HW: Identifica el tipo de hardware que se utiliza: Ethernet, ATM, HDLC, ... </li></ul><ul><li>Tipo de Protocolo: IPv4 </li></ul><ul><li>Tamaño de dirección HW: para Ethernet (MAC) son 6 bytes. </li></ul><ul><li>Tamaño de dirección de protocolo: Para la IPv4 son 4 bytes. </li></ul><ul><li>Operación ARP: Petición o respuesta. </li></ul>Tipo de HW Tipo de Protocolo Tamaño de dirección HW Operación ARP Tamaño de dirección protocolo Dirección HW origen Dirección protocolo origen Dirección HW destino Dirección protocolo destino
  4. 4. ARP El mensaje <ul><li>Utilizando Wireshark </li></ul>
  5. 5. ARP ¿Cómo funciona? <ul><li>Tenemos un host A que quiere mandar un datagrama a la dirección IP pero si no conoce la dirección Ethernet que tiene, por lo que mandará una petición ARP en difusión y el que tiene la IP de petición procederá a almacenar el par de direcciones del solicitante y después contestará. </li></ul><ul><li>Al llegar al origen el par que se solicitaba se almacenará. </li></ul><ul><li>El almacenamiento de los pares de direcciones se realizan en una tabla local que cada host tiene que se llama caché ARP. </li></ul>
  6. 6. Caché ARP <ul><li>Debido a que la red debe de estar continuamente comunicandose para la resolución de direcciones ésta puede convertirse en un problema debido al consumo de recursos en la red. </li></ul><ul><li>Debido a que la petición es en difusión todos los host deben de gastar un tiempo de CPU preciado para examinar el paquete de petición. </li></ul><ul><li>Se solucionó con una tabla local en la que guardar los pares de direcciones. </li></ul><ul><li>Existen dos formas de almacenamiento en la cache: </li></ul><ul><ul><li>Estático </li></ul></ul><ul><ul><li>Dinámico </li></ul></ul><ul><li>Puede ser vulnerable a un ataque de falsificación de paquetes ARP: ARP Spoofing. </li></ul>
  7. 7. Envenenamiento ARP <ul><li>Este tipo de vulnerabilidad consiste en el envenenamiento de las tablas ARP de los host implicados. </li></ul><ul><li>También conocido como ARP Spoofing, Falsificación ARP... </li></ul><ul><li>Se aprovecha de que las tablas son dinámicas y cambian conforme le llegan respuestas ARP, aunque no hayan pedido petición ninguna. </li></ul>
  8. 8. Envenenamiento ARP: Escenario <ul><li>Tenemos un router, y dos host una la víctima y otra el atacante. </li></ul><ul><li>El objetivo es envenenar la tabla ARP para poder llegar a situarse en medio de la comunicación entre el router y el host de la víctima. Este método se conoce como MITM (Man in the Middle). </li></ul><ul><li>Utilizar un cliente de mensajería para comprobar la vulnerabilidad a la hora de mandar mensajes. </li></ul>
  9. 9. Envenenamiento ARP: Herramientas <ul><li>Distribución linux preferida. Ubuntu Jaunty Jackalope. </li></ul><ul><li>dnsspoof </li></ul><ul><li>wireshark </li></ul>
  10. 10. Envenenamiento ARP Manos a la obra <ul><li>Después de instalar todas las herramientas necesarias necesitamos poner el ip_forward a 1 para habilitar el reenvio de paquetes desde nuestro equipo atacante. </li></ul><ul><li>Ahora utilizando una herramienta que es parte de DnsSpoof invocamos los procesos para envenenar las caché ARP </li></ul>
  11. 11. Envenenamiento ARP La obra continua <ul><li>Si en el host de la víctima visualizamos su cache ARP podemos encontrarnos con lo siguiente: </li></ul><ul><li>Donde antes teníamos </li></ul><ul><li>Imaginemos que utilizamos un cliente de mensajería, el MSN y escribimos algunos mensajes a algún contacto: </li></ul>
  12. 12. Envenenamiento ARP El destape <ul><li>Ahora utilizando el programa Wireshark y utilizando como filtro msnms </li></ul>
  13. 13. Envenenamiento ARP Para curiosos <ul><li>A este método se le puede añadir la falsificación de DNS con dnsspoof por ejemplo de Gmail para que pase toda la información a nuestro host atacante y despues utilizar ssldump para poder desencriptar el contenido seguro. </li></ul>
  14. 14. Posibles soluciones <ul><li>Una posible solución pasa por insertar de manera estática la caché ARP esto puede ser demasiado costoso cuando hablamos de muchos host en la red. </li></ul><ul><li>Otra solución viene implementada en algunos dispositivos en los que se evita este tipo de ataque y se conoce como DHCP Snooping </li></ul><ul><li>Para detectarlo puede hacerse uso del protocolo RARP que es el ARP inverso en el que se pregunta por una dirección Ethernet y devuelve una IP. </li></ul>
  15. 15. Conclusión <ul><li>Como hemos visto en el mundo de las redes de la información no siempre todo es seguro. </li></ul><ul><li>Hemos visto que el ataque es en una LAN, pero conocemos muy bien las vulnerabilidades existentes hoy en día en las redes inalámbricas, por lo que podrían acceder a la red local sin ningún problema. </li></ul><ul><li>Tienen que tomarse medidas preventivas y curativas para evitar que la seguridad de la información quede vulnerada. </li></ul>
  16. 16. Bibliografía y direcciones de interés <ul><li>http://www.ietf.org/rfc/rfc826.txt </li></ul><ul><li>http://www.tcpipguide.com/free/t_AddressResolutionandtheTCPIPAddressResolutionProto.htm </li></ul><ul><li>http://es.wikipedia.org/wiki/ARP_Spoofing </li></ul><ul><li>http://www.oxid.it/downloads/apr-intro.swf </li></ul><ul><li>http://technet.microsoft.com/es-es/library/cc758357(WS.10).aspx </li></ul><ul><li>http://technet.microsoft.com/es-es/library/cc755489(WS.10).aspx </li></ul><ul><li>http://foro.elhacker.net/hacking_avanzado/esnifando_redes_conmutadasarp_spoof_mitm_sniffer_sobre_ssl-t223015.0.html;msg1058386 </li></ul><ul><li>http://www.erg.abdn.ac.uk/users/gorry/course/inet-pages/arp.html </li></ul>

×